LINUX.ORG.RU
ФорумAdmin

alt linux сервер как отключить рута и наоборот дать доступ пользователю из wheel к веб-морде?

 ,


1

2

Поставил альтлинупс. Вроде норм, но есть нюансы собственно сабж. Категорически неприемлемо ходить под рутом, поэтому только судо. И можно бы его выключить совсем, только на вебморду он требует именно рута, а мне бы хотелось наоборот дать туда доступ всем кто в wheel. Есть надпись добавить доступ к отдельным модулям, но этого мало, нужно чтобы ко всему, но не от рута.



Последнее исправление: justin_case (всего исправлений: 1)
Ответ на: комментарий от justin_case

Если ты им не пользуешься значит у тебя есть регулярная учётная запись с возможностью повышения привилегий. Что, в свою очередь, означает что ты можешь менять пароль рута каждый раз при необходимости его использовать.

Кроме того, у тебя может совпадать твой пароль и пароль рута. Причина проста, утечка твоего пароля с соотв. доступом мало отличается от утечки пароля рута.

Кроме того, вход именно под рутом - неприемлем

Чем это отличается от входа с последующим повышением привилегий? Хотя я также предпочитаю не использовать вход от рута.

sin_a ★★★★★
()
Ответ на: комментарий от sin_a

Не так

Все всюду входят по ключу если это возможно. Если нужен пароль то он генерится и забивается внутрь проги (почтового клиента или там самбы). Для входа по SSH используется только ключ, по паролю войти невозможно никуда в принципе. осле входа под собой по ключу можно использовать какой угодно свой пароль хоть простой для повышения привелегий. Идея простая - никто не знает ничьих паролей кроме своего собственного. Если пароль забывается, он меняется, верно, но входить под рутом на морду будет плохо тем, что один пароль на всех кому нужно.

justin_case
() автор топика
Ответ на: комментарий от Aceler

Я спрашиваю про стандартизацию. В других дистрах достаточно одного пакетного менеджера чтобы выполнить ВСЕ задачи, в альте получается чтобы посмотреть список из уже установленных нужно использовать rpm. Зачем то убрали apt.

justin_case
() автор топика
Ответ на: комментарий от justin_case

входить под рутом на морду будет плохо тем, что один пароль на всех кому нужно.

И здесь мы сталкиваемся со следующей проблемой: alt linux сервер как отключить рута и наоборот дать доступ пользователю из wheel к веб-морде? (комментарий)

sin_a ★★★★★
()
Ответ на: комментарий от sin_a

Правильно, но мне нужно чтобы это был НЕ рут. Чтобы он под собой вошел, потому что может быть еще второй человек, мало ли что (масштабируемость и расширяемость). Я не хочу вообще использовать рутовый пароль, ни запоминать не тем более записывать. Вот главная вешь - каждый человек знает только свой пароль и все. В винде это ну наверное с 2000, в линуксах чет как то кто в лес кто по дрова хотя идея правильная и нужная.

justin_case
() автор топика
Ответ на: комментарий от justin_case

В других дистрах достаточно одного пакетного менеджера чтобы выполнить ВСЕ задачи

Нет. Во всех дистрах пакетный менеджер отдельно, надстройка отдельно. В федоре dnf поверх rpm, в suse zypper поверх rpm, в дебиане/убунте/минте и прочих производных apt поверх dpkg.

Зачем то убрали apt.

Не «убрали», а не добавляли. Apt использует несовместимую версию libapt.

Aceler ★★★★★
()
Ответ на: комментарий от sin_a

Не, ну в доменных системах это имеет смысл. И то, что ahttpd не поддерживает группы, а, следовательно, доменные роли — это недостаток ahttpd, я бы оформил фичареквест.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler
Ответ на: комментарий от sin_a

1. Отключение морды
2. Битье морды террористу

Лично я всегда подразумеваю что внутри организации террористов нет, а если появится, то это недоработка отдела кадров и приступаем к п 2.

justin_case
() автор топика
Ответ на: комментарий от Aceler

ahttpd не поддерживает группы

Ну это значит что при добавлении каждого нового «одмина» придется вносить его в этот список на КАЖДОМ компе где эта морда стоит. а компов этих может быть сотни. Отличное решение, уровня 1993 года. Можно конечно запилить ансибл вот ровно для этой задачи, но всеравно плохо, потому что в винде этот вопрос решался через группы уже хрен знает сколько лет. Ладно у меня другой вопрос - /etc/ahttpd/acl.conf пустой и там нет ссылок на директорю где эта морда, какая она должна быть?

justin_case
() автор топика
Ответ на: комментарий от justin_case

Ну это значит что при добавлении каждого нового «одмина» придется вносить его в этот список на КАЖДОМ компе где эта морда стоит. а компов этих может быть сотни.

Я так и написал. Увы.

Ладно у меня другой вопрос - /etc/ahttpd/acl.conf пустой

Не может быть. Там должен быть комментарий:

$ sudo cat /etc/ahttpd/acl.conf
[sudo] password for aceler:
#access control lists
#format: uri	user1,user2,user3

и там нет ссылок на директорю где эта морда, какая она должна быть?

Какая морда, где морда? Пользователей впиши.

Aceler ★★★★★
()
Ответ на: комментарий от justin_case

В винде это ну наверное с 2000, в линуксах чет как то кто в лес кто по дрова хотя идея правильная и нужная.

В Cockpit можно зайти обычным пользователем, поддерживается sudo для повышения привилегий. Так что где-то уже сделали нормально.

anonymous
()
Ответ на: комментарий от Aceler

чего гадать-то

Вот это пути локальные оказывается. Я об этом и спрашивал.

но вот так

/ <user> тоже не помогает. А мне нужно на все доступ а не отдельные модули.

justin_case
() автор топика
Ответ на: комментарий от justin_case

Во-первых, то что ты споришь фразой «я ему пароль выключил — теперь под ним не зайти» с утверждением «можно запретить под ним заходить, а не выключить его».

Во-вторых, то что «ключ генерируется» не руту, а пользователю который под ним заходить должен. Руту (или любому другому) добавляется открытая часть этой криптопары.

В-третьих, выше уже сказали, но я повторю: «не ставить пароль и не добавлять руту никаких ssh ключей» безопасность не повышает ни на йоту, а только лишает тебя возможности в случае, если LDAP-сервер (или DC) отвалится, зайти под ним автономно и восстановить сломавшееся. Если пользователю доступно sudo -i, он ничем (с точки зрения кражи пароля или ssh ключа) не отличается от рута.
Ходить, да, каждый должен под собой, но это не значит что в DRP не должно быть строчки «в сейфах X и Y флешки с доступом к серверам на случай гибели всех айтишников в организации».

mogwai ★★★★★
()
Ответ на: комментарий от justin_case

Тебе объясняют, что админ которому надо в вебморду зайти, может сделать

ssh ivanov@server
sudo passwd root

Зайти под рутом в браузере, сделать свои дела, а затем снова выключить пароль рута.

Другому админу, когда он вебмордой воспользоваться захочет, тоже можно

ssh petrov@server
sudo passwd root

Да, это так себе идея, но ограничение в альтераторе никак не может привести к «один пароль на всех кому нужно». Если админы хоть на чуть-чуть голову включат.

mogwai ★★★★★
()
Последнее исправление: mogwai (всего исправлений: 1)
Ответ на: комментарий от mogwai

только лишает тебя возможности в случае, если LDAP-сервер (или DC) отвалится, зайти под ним автономно и восстановить сломавшееся

init=/bin/bash, mount -o remount,rw /

Проблема-то.

То, что человек хочет, действительно имеет смысл в крупных организациях. И я, как повнедрявший в таких организациях, его понимаю. Буду доносить до разработчиков альта, что это надо.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

init=/bin/bash, mount -o remount,rw /

Это если целевой сервер упал. А если он работает, много ситуаций можно придумать когда быстрее и не хуже под рутом сходить по ssh.

То, что человек хочет, действительно имеет смысл в крупных организациях.

И в маленьких имеет смысл, если айтишников больше двух человек.

mogwai ★★★★★
()
Ответ на: комментарий от mogwai

Это если целевой сервер упал.

Если на целевом сервере отвалились LDAP и при этом нет кешированных данных в SSS, то он всё равно что упал, зачем он тогда нужен ;-)

И в маленьких имеет смысл, если айтишников больше двух человек.

А если к ahttpd ещё и Kerberos прикрутить, ммм.

@Skull, можно тебя присоединить к обсуждению?

Aceler ★★★★★
()
Ответ на: комментарий от mogwai

Долго и геморно, либо забудут выключить либо сменить пароль когда надо войти. Я хочу сделать ИМ удобно и быстро, мне самому не нужно вообще от слова совсем, писал же.

justin_case
() автор топика
Ответ на: комментарий от Aceler

Оформи фичереквест, я поддержу.

Не умею этого делать, никогда не делал раньше ни для каких софтов. Кроме того я человек простой, не умею рассусоливать, все что могу написать примерно «Сделайте так чтобы в вебморду можно было заходить не из под рута а из под юзера, а доступно им было все то что и руту.» Скопируй им им туда, спасибо тебе тогда.

justin_case
() автор топика
Ответ на: комментарий от Aceler

А если к ahttpd ещё и Kerberos прикрутить

НА мой взгляд хватило и просто возможности добавить группу из домена, которую берет не ahhtpd а хоть бы и сам комп через sssd. Но именно группу. Потому что тут надо учитывать не только величину организации а еще и смену персонала (кто пришел и кто ушел). Но идея насчет отдельных модулей у нас в России НЕ приживется это в AD есть такое деление типа админ сугубо бэкапов например и больше ему ничего недоступно да и не надо. У нас не так у нас все занимаются всем, потому что иначе в отпуск никто уйти не сможет а если уволится так вообще гевалт.

justin_case
() автор топика
Ответ на: комментарий от Aceler

зачем он тогда нужен

Для нгинкса. Веб приложения работают, а по ssh зайти не получается.

Камон, я говорил о том, что не давать никому (и себе) рутовый пароль/ключ ни разу не менее безопасно, чем отключать руту вход.
А ты из меня ситуации вытаскиваешь, когда оно пригодиться может. Опечатался ты при установке своего пароля, или токен с закрытым ключом сломал. Машина тебя сбила, и другому чуваку надо себе учетную запись создать/повысить в правах. Что, ради этого сервисы останавливать?

mogwai ★★★★★
()
Ответ на: комментарий от justin_case

Да. Зато «раздавать всем один пароль» не надо. А там, глядишь, запилят в вебморде нужную тебе фичу.

А если сам хочешь сделать — возмьи исходники и сделай. Это только приветствуется. Но ты же и фичреквест не хочешь оформить, и на варианты как можно выкрутиться здесь и сейчас стучишь ножками «нам неудобно».

У нас не так у нас все занимаются всем, потому что…

организоваться не умеем. FTFY
Не в упрёк тебе, сам через это проходил. Просто не раздувай из мухи слона. Надо выдохнуть и посмотреть какая причина процессы в хаос превращает, а дальше работать в сторону её устранения.

mogwai ★★★★★
()
Ответ на: комментарий от justin_case

сохранить его

Где? я его забуду послезавтра, а хранение паролей на бумажках и в файлах это умственная осталость.

Умственная осталость это что-то из «остаток ума»? Похоже это как раз про вас.

anc ★★★★★
()
Ответ на: комментарий от mogwai

ты из меня ситуации вытаскиваешь, когда оно пригодиться может. Опечатался ты при установке своего пароля, или токен с закрытым ключом сломал. Машина тебя сбила, и другому чуваку надо себе учетную запись создать/повысить в правах.

А вот для этого как раз нужен домен. Чтобы доменный админ (их минимум двое, на случая сбития трамваем) мог перенастроить пароли и группы нужным людям, а ненужным доступ отключить.

В общем, ситуация «локальный рут не нужен» — это жизненная ситуация, даже если пароль у рута есть и ты его спрятал и хорошенько забыл. А ситуация «сервер с нджинком работает, но по ssh доступа нет, потому что отвалился домен» — требует немедленной реакции в любом случае, потому что это подозрение на взлом со всеми вытекающими. И машину в любом случае останавливать.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

ситуация «локальный рут не нужен» — жизненная

С этим и не спорю. ИМХО локальный рут нужен только для восстановления после катастрофы. Всё остальное — под личными учётками персонала.

требует немедленной реакции в любом случае, потому что это подозрение на взлом со всеми вытекающими. И машину в любом случае останавливать.

Могу назвать разных ситуаций, когда нет. Большая часть из них — ССЗБ, но от сумы и от тюрьмы, как говорится. Поэтому, чтобы не попасть в ситуацию, когда на сервер не попасть ни удалённо ни физически: «локальный рут нужен, но пользоваться им нельзя».

mogwai ★★★★★
()
Ответ на: комментарий от mogwai

Поэтому, чтобы не попасть в ситуацию, когда на сервер не попасть ни удалённо ни физически: «локальный рут нужен, но пользоваться им нельзя».

В крупных компаниях такая политика конфликтует с политикой безопаности. Третий помощник младшего сисадмина главного бухгалтера начальника отдела закупок второго планового отдела может нарушить запрет на 1386-м сервере с nginx-ом, и никто этого не заметит.

А поскольку он ходит под рутом, он может и логи подчистить, и руткит посадить и вообще много чего — и вот уже корпоративные секреты утекают с этого сервера к конкурентам.

Ну и плюс, ТС-у такая политика ничем не поможет, в альтератор сегодня можно попасть только или рутом, или в отдельные модули указанным пользователям, если рут разрешил.

Aceler ★★★★★
()
Ответ на: комментарий от mogwai

Я уже не говорю о том, что в крупных компаниях, опять же, есть централизованное управление и бекапы, поэтому, если вдруг сервер не отвечает, проще за пару минут накатить новый, скинуть туда данные с бекапа, а этот сжечь.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

Третий помощник может нарушить запрет

Эмм… у нас недопонимание где-то. Откуда он root добудет?

Если у vivanov@server может сделать sudo -i — он может сделать что хочет. А если у него набор прав ограничен, как он для root@server пароль поставить сможет?

Я уже не говорю о том, что в крупных компаниях

И правильно, ибо ТС писал:

у нас все занимаются всем, потому что иначе в отпуск никто уйти не сможет а если уволится так вообще гевалт.

Что говорит в пользу некрупной компании.

Ну и плюс, ТС-у такая политика ничем не поможет

На лоре пора древовидные комментарии вводить. Ветка диалога, в которой вы пишете, началась с того, что он рута отключает «ради безопасности», чтобы «каждый ходил под своей учёткой». На что я ему сказал, что он лишь запрещает интерактивный вход, но безопасность это не повышает, ибо можно положить ему ключ, закрытую часть которого в яйцо, которое скормить утке, утку — зайцу. Можно и пароль ему поставить сложный, который в то же яйцо запихать. Разбивать яйцо только в экстренной ситуации, а весь этот театр с passwd -l разбивается как только кто-то из персонала может сделать passwd -u.
Где вы тут увидели заявление о необходимости работать под рутом или отсутствию потребности входить в веб-морду альтератора под регулярной учёткой - в душе не знаю. Я бы поспорил о нужности веб-морды как таковой, ибо «в крупной компании» деплой автоматизирован, а технарь неспособный в CLI до сервера не допускается.

mogwai ★★★★★
()